Rob Wright、シニアニュースディレクター、Dark Reading
2025年9月5日
読了時間:2分
出典:Aleksey Funtap(Alamyストックフォト経由)
先月初めて公開されたSAPのS/4HANA ERPソフトウェアにおける重大なコードインジェクション脆弱性が、現在実際に悪用されています。
先月、SAPはCVE-2025-42957を公開し、パッチを提供しました。この脆弱性はプライベートクラウドおよびオンプレミスのS/4HANAインスタンスの両方に影響します。この脆弱性は9.9のCVSSスコアを受けており、低権限ユーザーアクセスを持つ攻撃者がSAPのABAPコードをシステムに注入し、完全に侵害することを可能にします。この脆弱性は、ドイツに拠点を置くSAP専門のセキュリティ企業SecurityBridgeによって発見され、ソフトウェアメーカーに報告されました。
SecurityBridgeは木曜日のブログ投稿で、CVE-2025-42957のエクスプロイトを発見し、実際に悪用されていることを確認したと述べました。「広範な悪用はまだ報告されていませんが、SecurityBridgeはこの脆弱性の実際の悪用を確認しました」とブログ投稿で述べられています。「つまり、攻撃者はすでにこの脆弱性の使い方を知っており、パッチ未適用のSAPシステムが危険にさらされています。」
SecurityBridgeはさらに、CVE-2025-42957のSAPパッチは「比較的簡単に」リバースエンジニアリングでき、悪用に成功すると攻撃者はターゲットとなるSAPシステムのOSおよび全データにアクセスできると述べています。
SecurityBridgeだけでなく、他の企業も悪用活動を警告しています。デンバーに拠点を置くサイバーセキュリティベンダーのPathlockは、ブログ投稿で「CVE-2025-42957の悪用試行と一致する異常な活動を検知した」と金曜日に発表しました。
PathlockのSAPセキュリティアナリストであるJonathan Stross氏は、メディアへの声明で「CVE-2025-42957のパッチ公開後、悪用活動が劇的に増加した」と述べています。
SecurityBridgeが発見したエクスプロイトが概念実証(PoC)なのかは不明です。Dark ReadingはSecurityBridgeにコメントを求めましたが、記事掲載時点では回答はありませんでした。
SAP顧客にとって非常に高い危険性
攻撃者がCVE-2025-42957を悪用するには有効なユーザーアカウントが必要ですが、SecurityBridgeはこの脆弱性が「特に危険」だと述べています。
「攻撃の複雑さは低く、ネットワーク越しに実行できるため、CVSSスコアが非常に高く(9.9)なっています」とブログ投稿は述べています。「要約すると、悪意のある内部関係者や、(フィッシングなどで)基本的なユーザーアクセスを得た脅威アクターが、この脆弱性を利用してSAP環境を完全に制御することが可能です。」
SecurityBridgeによると、1つのユーザーアカウントと脆弱なモジュールへのリモート関数呼び出し(RFC)だけで、攻撃者はSAPシステムの管理者権限を得ることができます。そこから、攻撃者はSAPデータベース内の企業データを直接操作または削除したり、永続的なバックドアとして機能する追加の管理者アカウントを作成したり、ハッシュ化されたパスワードなどのデータを流出させたり、ホストOSの制御によってさらなる被害を引き起こすことができます。
SecurityBridgeは、CVE-2025-42957のパッチを直ちに適用するよう顧客に強く呼びかけています。このパッチはSAPの2025年8月のセキュリティアップデートでリリースされました。潜在的な悪用から防御するため、同社はSAPのUnified Connectivity framework(UCON)を実装してRFCの使用を制限し、不審なRFC呼び出しや新規管理者アカウントの作成をログで監視することを推奨しています。
CVE-2025-42957の悪用は、春に発生した重大なSAP NetWeaverのゼロデイ脆弱性(CVE-2025-31324)への攻撃に続くものです。この脆弱性は、4月下旬の最初の公開後、その後も複数回の攻撃を受けました。